Пустить интернет трафик клиентов OpenVpn через Squi
-
Здравствуйте!
Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10, на нем же поднят Squid(прозрачный) со стандартным портом. Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1. Ip-адреса клиентам я раздаю статические через ifconfig-push из диапазона 192.168.100.0/24. Шлюз по умолчанию на сервере 10.1.1.1. Внутренние пользователи ходят в инет через Squid без проблем. Задача стоит завернуть весь трафик OpenVpn клиента в туннель с доступом в интернет через Squid.
Трафик пользователя я заворачиваю в туннель без проблем, через настройки OpenVpn сервера. А вот с настройкой доступа в интернет через Squid проблемы. Пробовал через nat/port forward настраивать проброс http трафика на Squid, не работает. В правилах файервола доступ из openvpn подсети к подсети Squid'а разрешил. Все равно интернета нет. Подскажите, пожалуйста, в какую сторону копать? -
У клиентов не должен быть прописан прокси. Клиент, к примеру, подключается к OpenVpn c собственного смартфона и в момент подключения интернет должен идти через мой Squid. В остальных случаях интернет должен работать клиентский.
-
В настройках сквида укажите Proxy Interface(s) , Transparent Proxy Interface(s) на интерфейс OPT 1, работает?
-
Нет, не заработало. В логах squid'а пусто. Попробовал прописать прокси в браузере, тоже инета нет. Добавление клиента в Acl лист сквида тоже не дало результатов. Правило firewall для доступа к сквиду настроено.
-
Добрый.
Завернуть весь трафик клиентов в туннель.
Разрешить сеть клиентов 192.168.100.0/24 в настройках сквидаТак же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1
Удалить явно созданный впн-интерфейс. Попробовать сперва без него.
-
Здравствуйте!
Удалил явно созданный OpenVpn интерфейс. Завернуль весь трафик клиентов в туннель (Force all client-generated IPv4 traffic through the tunnel). В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0.24). Не помогло. Интернета нет. В логах сквида только локальные пользователи. В настройках сквида Proxy Interface настройен на Lan и Loopback. -
Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10 … Шлюз по умолчанию на сервере 10.1.1.1.
?
В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0**.24**)
192.168.100.0**/24**
-
Allowed Subnets конечно 192.168.100.0/24 прописал. Опечатался.
Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan интерфейсе. И да, обратил внимание что клиент OpenVpn не получает шлюз. ДНСы внутренние получает, а адрес шлюза пустой. -
Инет появляется если прописать адрес прокси в браузере OpenVpn клиента. По умолчанию инет так и не работает.
Так же не резолвятся внутренние адреса сети. Есть внутренний DNS поднятый на контроллере домена. В system/general setup прописад адрес dns серверов. Поставил галочки DNS Query Forwarding/
Enable Forwarding Mode и Enable DNS forwarder. В правилах firewal'а в OpenVpn прописал разрешение на 53 порт к этим серверам. В логах firewal'а обращения к этим серверам с клиента проходят, а имена не резолвятся. -
Добрый.
@Komito:Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan
Зачем два шлюза?
Нарисуйте схему сети, пож-та